Włączanie kluczy dostępu (FIDO2) dla organizacji
W przypadku przedsiębiorstw, które używają obecnie haseł, hasła (FIDO2) zapewniają bezproblemowy sposób uwierzytelniania procesów roboczych bez wprowadzania nazwy użytkownika lub hasła. Skróty dostępu (FIDO2) zapewniają lepszą produktywność pracowników i zapewniają lepsze bezpieczeństwo.
W tym artykule wymieniono wymagania i kroki włączania kluczy dostępu w organizacji. Po wykonaniu tych kroków użytkownicy w organizacji mogą zarejestrować się i zalogować się do swojego konta Microsoft Entra przy użyciu klucza dostępu przechowywanego w kluczu zabezpieczeń FIDO2 lub w aplikacji Microsoft Authenticator.
Aby uzyskać więcej informacji na temat włączania kluczy dostępu w aplikacji Microsoft Authenticator, zobacz How to enable passkeys in Microsoft Authenticator (Jak włączyć klucz dostępu w aplikacji Microsoft Authenticator).
Aby uzyskać więcej informacji na temat uwierzytelniania za pomocą klucza dostępu, zobacz Obsługa uwierzytelniania FIDO2 za pomocą identyfikatora Entra firmy Microsoft.
Uwaga
Identyfikator Entra firmy Microsoft obsługuje obecnie powiązane z urządzeniem klucze dostępu przechowywane w kluczach zabezpieczeń FIDO2 i w aplikacji Microsoft Authenticator. Firma Microsoft zobowiązuje się do zabezpieczania klientów i użytkowników przy użyciu kluczy dostępu. Inwestujemy zarówno w zsynchronizowane, jak i powiązane z urządzeniami klucz dostępu dla kont służbowych.
Wymagania
- Uwierzytelnianie wieloskładnikowe (MFA) firmy Microsoft.
- Klucze zabezpieczeń FIDO2 kwalifikujące się do zaświadczania za pomocą identyfikatora Microsoft Entra ID lub Microsoft Authenticator.
- Urządzenia obsługujące uwierzytelnianie za pomocą klucza dostępu (FIDO2). W przypadku urządzeń z systemem Windows, które są przyłączone do identyfikatora Entra firmy Microsoft, najlepsze środowisko jest w systemie Windows 10 w wersji 1903 lub nowszej. Urządzenia przyłączone hybrydowo muszą działać z systemem Windows 10 w wersji 2004 lub nowszej.
Klucz dostępu (FIDO2) jest obsługiwany w głównych scenariuszach w systemach Windows, macOS, Android i iOS. Aby uzyskać więcej informacji na temat obsługiwanych scenariuszy, zobacz Obsługa uwierzytelniania FIDO2 w identyfikatorze Entra firmy Microsoft.
Uwaga
Obsługa rejestracji na tym samym urządzeniu w przeglądarce Edge w systemie Android będzie dostępna wkrótce.
Identyfikator GUID zaświadczania Uwierzytelniacza (FIDO2) Authenticator (AAGUID)
Specyfikacja FIDO2 wymaga od każdego dostawcy klucza zabezpieczeń udostępnienia identyfikatora GUID zaświadczania wystawcy Authenticator (AAGUID) podczas rejestracji. Identyfikator AAGUID to 128-bitowy identyfikator wskazujący typ klucza, taki jak make i model. Dostawcy kluczy dostępu (FIDO2) na komputerach i urządzeniach przenośnych mają również dostarczyć identyfikator AAGUID podczas rejestracji.
Uwaga
Dostawca musi upewnić się, że usługa AAGUID jest identyczna dla wszystkich zasadniczo identycznych kluczy zabezpieczeń lub dostawców kluczy dostępu (FIDO2) wykonanych przez tego dostawcę i różnych (z wysokim prawdopodobieństwem) od identyfikatorów AAGUID wszystkich innych typów kluczy zabezpieczeń lub dostawców kluczy dostępu (FIDO2). W tym celu należy losowo wygenerować identyfikator AAGUID dla danego modelu kluczy zabezpieczeń lub dostawcy klucza dostępu (FIDO2). Aby uzyskać więcej informacji, zobacz Uwierzytelnianie sieci Web: interfejs API umożliwiający uzyskiwanie dostępu do poświadczeń klucza publicznego — poziom 2 (w3.org).
Możesz pracować z dostawcą klucza zabezpieczeń w celu określenia identyfikatora AAGUID klucza dostępu (FIDO2) lub zobaczyć klucze zabezpieczeń FIDO2 kwalifikujące się do zaświadczania za pomocą identyfikatora Microsoft Entra. Jeśli klucz dostępu (FIDO2) jest już zarejestrowany, możesz znaleźć identyfikator AAGUID, wyświetlając szczegóły metody uwierzytelniania klucza dostępu (FIDO2) dla użytkownika.
Włączanie metody uwierzytelniania klucza dostępu (FIDO2)
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do strony Zasady>metody uwierzytelniania Metod>uwierzytelniania ochrony.
W obszarze metody Passkey (FIDO2) ustaw przełącznik na Wartość Włącz. Wybierz pozycję Wszyscy użytkownicy lub Dodaj grupy , aby wybrać określone grupy. Obsługiwane są tylko grupy zabezpieczeń.
Na karcie Konfigurowanie:
Ustaw opcję Zezwalaj na konfigurowanie samoobsługi na wartość Tak. Jeśli ustawiono wartość Nie, użytkownicy nie będą mogli zarejestrować klucza dostępu przy użyciu informacji zabezpieczających, nawet jeśli w zasadach metod uwierzytelniania są włączone klucz dostępu (FIDO2).
Ustaw opcję Wymuszaj zaświadczanie na wartość Tak , jeśli organizacja chce mieć pewność, że model klucza zabezpieczeń FIDO2 lub dostawca kluczy dostępu jest prawdziwy i pochodzi od uprawnionego dostawcy.
- W przypadku kluczy zabezpieczeń FIDO2 wymagamy opublikowania i zweryfikowania metadanych klucza zabezpieczeń w usłudze FIDO Alliance Metadata Service, a także przekazania innego zestawu testów weryfikacyjnych firmy Microsoft. Aby uzyskać więcej informacji, zobacz Zostań dostawcą kluczy zabezpieczeń FIDO2 zgodnym z firmą Microsoft.
- W przypadku kluczy dostępu w aplikacji Microsoft Authenticator obsługa zaświadczania jest planowana na potrzeby ogólnej dostępności.
Ostrzeżenie
Wymuszanie zaświadczania określa, czy klucz dostępu (FIDO2) jest dozwolony tylko podczas rejestracji. Użytkownicy, którzy rejestrują klucz dostępu (FIDO2) bez zaświadczania, nie będą blokowani od logowania, jeśli ustawienie Wymuszanie zaświadczania ma wartość Tak później.
Zasady ograniczeń klucza
- Wymuś ograniczenia kluczy powinny być ustawione na Wartość Tak tylko wtedy, gdy organizacja chce zezwalać tylko na określone modele kluczy zabezpieczeń lub dostawców kluczy zabezpieczeń lub dostawców kluczy dostępu, które są identyfikowane przez usługę AAGUID. Możesz pracować z dostawcą klucza zabezpieczeń, aby określić identyfikator AAGUID klucza dostępu. Jeśli klucz dostępu został już zarejestrowany, możesz znaleźć identyfikator AAGUID, wyświetlając szczegóły metody uwierzytelniania klucza dostępu dla użytkownika.
Gdy ustawienie Wymuszanie ograniczeń klucza ma wartość Tak, możesz wybrać pozycję Microsoft Authenticator, aby automatycznie dodać aplikację Authenticator AAGUIDs dla Ciebie na liście ograniczeń klucza. Aby uzyskać więcej informacji, zobacz Włączanie kluczy dostępu w aplikacji Microsoft Authenticator.
Ostrzeżenie
Kluczowe ograniczenia umożliwiają określanie użyteczności określonych modeli lub dostawców na potrzeby rejestracji i uwierzytelniania. Jeśli zmienisz ograniczenia klucza i usuniesz wcześniej dozwolony identyfikator AAGUID, użytkownicy, którzy wcześniej zarejestrowali dozwoloną metodę, nie będą mogli używać jej do logowania.
Jeśli twoja organizacja nie wymusza obecnie ograniczeń kluczy i ma już aktywne użycie klucza dostępu, należy zebrać identyfikatory AAGUID używanych obecnie kluczy. Dodaj je do listy dozwolonych wraz z identyfikatorami AAGUID authenticator, aby włączyć klucz dostępu (FIDO2). To zadanie można wykonać za pomocą zautomatyzowanego skryptu, który analizuje dzienniki, takie jak szczegóły rejestracji i dzienniki logowania.
Uwaga
Jeśli wyłączysz ponowne pobieranie kluczy, upewnij się, że wyczyść pole wyboru Microsoft Authenticator , aby użytkownicy nie monitowali o skonfigurowanie klucza dostępu w aplikacji Authenticator w obszarze Informacje zabezpieczające.
Po zakończeniu konfiguracji wybierz pozycję Zapisz.
Uwaga
Jeśli podczas próby zapisania wystąpi błąd, zastąp wiele grup pojedynczą grupą w jednej operacji, a następnie kliknij przycisk Zapisz ponownie.
Aprowizuj klucze zabezpieczeń FIDO2 przy użyciu interfejsu API programu Microsoft Graph (wersja zapoznawcza)
Obecnie w wersji zapoznawczej administratorzy mogą używać programu Microsoft Graph i niestandardowych klientów do aprowizowania kluczy zabezpieczeń FIDO2 w imieniu użytkowników. Aprowizowanie wymaga roli administratora uwierzytelniania lub aplikacji klienckiej z uprawnieniem UserAuthenticationMethod.ReadWrite.All. Ulepszenia aprowizacji obejmują:
- Możliwość żądania opcji tworzenia protokołu WebAuthn z identyfikatora Entra firmy Microsoft
- Możliwość rejestrowania aprowizowanego klucza zabezpieczeń bezpośrednio przy użyciu identyfikatora Entra firmy Microsoft
Dzięki tym nowym interfejsom API organizacje mogą tworzyć własnych klientów w celu aprowizowania poświadczeń klucza dostępu (FIDO2) na kluczach zabezpieczeń w imieniu użytkownika. Aby uprościć ten proces, wymagane są trzy główne kroki.
- Request creationOptions for a user: Microsoft Entra ID zwraca niezbędne dane, aby klient aprowizować poświadczenia klucza dostępu (FIDO2). Obejmuje to informacje, takie jak informacje o użytkowniku, identyfikator jednostki uzależnionej, wymagania dotyczące zasad poświadczeń, algorytmy, wyzwanie rejestracji i nie tylko.
- Aprowizuj poświadczenie klucza dostępu (FIDO2) przy użyciu opcji tworzenia: użyj
creationOptions
klienta i obsługującego protokół Authenticator Protocol (CTAP, Client to Authenticator Protocol), aby aprowizować poświadczenia. W tym kroku należy wstawić klucz zabezpieczeń i ustawić numer PIN. - Zarejestruj aprowizowane poświadczenia za pomocą identyfikatora Entra firmy Microsoft: użyj sformatowanych danych wyjściowych z procesu aprowizacji, aby podać identyfikator Entra firmy Microsoft niezbędne dane do zarejestrowania poświadczeń klucza dostępu (FIDO2) dla docelowego użytkownika.
Włączanie kluczy dostępu (FIDO2) przy użyciu interfejsu API programu Microsoft Graph
Oprócz korzystania z centrum administracyjnego firmy Microsoft Entra można również włączyć klucz dostępu (FIDO2) przy użyciu interfejsu API programu Microsoft Graph. Aby włączyć klucz dostępu (FIDO2), należy zaktualizować zasady metod uwierzytelniania jako co najmniej administrator zasad uwierzytelniania.
Aby skonfigurować zasady przy użyciu Eksploratora programu Graph:
Zaloguj się do Eksploratora programu Graph i wyrażaj zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod .
Pobierz zasady metody uwierzytelniania:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Aby wyłączyć wymuszanie zaświadczania i wymuszać ograniczenia klucza, aby zezwolić na używanie tylko identyfikatora AAGUID dla RSA DS100, wykonaj operację PATCH przy użyciu następującej treści żądania:
PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2 Request Body: { "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration", "isAttestationEnforced": false, "keyRestrictions": { "isEnforced": true, "enforcementType": "allow", "aaGuids": [ "7e3f3d30-3557-4442-bdae-139312178b39", <insert previous AAGUIDs here to keep them stored in policy> ] } }
Upewnij się, że zasady klucza dostępu (FIDO2) zostały prawidłowo zaktualizowane.
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
Usuwanie klucza dostępu (FIDO2)
Aby usunąć klucz dostępu (FIDO2) skojarzony z kontem użytkownika, usuń go z metody uwierzytelniania użytkownika.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra i wyszukaj użytkownika, którego klucz dostępu (FIDO2) musi zostać usunięty.
- Wybierz pozycję Metody> uwierzytelniania kliknij prawym przyciskiem myszy pozycję Klucz dostępu (powiązany z urządzeniem) i wybierz pozycję Usuń.
Wymuszanie logowania za pomocą klucza dostępu (FIDO2)
Aby umożliwić użytkownikom logowanie się przy użyciu klucza dostępu (FIDO2) podczas uzyskiwania dostępu do poufnego zasobu, możesz:
Używanie wbudowanej siły uwierzytelniania odpornego na wyłudzanie informacji
Or
Utwórz niestandardową siłę uwierzytelniania
W poniższych krokach pokazano, jak utworzyć niestandardowe zasady dostępu warunkowego o sile uwierzytelniania, które umożliwiają logowanie za pomocą klucza dostępu (FIDO2) tylko dla określonego modelu klucza zabezpieczeń lub dostawcy klucza dostępu (FIDO2). Aby uzyskać listę dostawców FIDO2, zobacz FIDO2 security keys eligible for attestation with Microsoft Entra ID (Klucze zabezpieczeń FIDO2 kwalifikujące się do zaświadczania za pomocą identyfikatora Microsoft Entra ID).
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>metod>uwierzytelniania Mocnych stron uwierzytelniania.
- Wybierz pozycję Nowa siła uwierzytelniania.
- Podaj nazwę nowej siły uwierzytelniania.
- Opcjonalnie podaj opis.
- Wybierz pozycję Passkeys (FIDO2).
- Opcjonalnie, jeśli chcesz ograniczyć określone identyfikatory AAGUID, wybierz pozycję Opcje zaawansowane, a następnie dodaj AAGUID. Wprowadź dozwolone identyfikatory AAGUID. Wybierz pozycję Zapisz.
- Wybierz pozycję Dalej i przejrzyj konfigurację zasad.
Znane problemy
Aprowizowanie klucza zabezpieczeń
Aprowizowanie przez administratora kluczy zabezpieczeń jest w wersji zapoznawczej. Zobacz Program Microsoft Graph i klienci niestandardowi, aby aprowizować klucze zabezpieczeń FIDO2 w imieniu użytkowników.
Użytkownicy współpracy B2B
Rejestracja poświadczeń klucza dostępu (FIDO2) nie jest obsługiwana w przypadku użytkowników współpracy B2B w dzierżawie zasobów.
Zmiany nazwy UPN
Jeśli nazwa UPN użytkownika ulegnie zmianie, nie można już modyfikować kluczy dostępu (FIDO2), aby uwzględnić zmianę. Jeśli użytkownik ma klucz dostępu (FIDO2), musi zalogować się do informacji zabezpieczających, usunąć stary klucz dostępu (FIDO2) i dodać nowy.
Następne kroki
Natywna aplikacja i obsługa przeglądarki uwierzytelniania bez hasła (FIDO2)
Logowanie do systemu Windows 10 klucza zabezpieczeń FIDO2
Włączanie uwierzytelniania FIDO2 do zasobów lokalnych
Rejestrowanie kluczy zabezpieczeń w imieniu użytkowników
Dowiedz się więcej o rejestracji urządzeń
Dowiedz się więcej na temat uwierzytelniania wieloskładnikowego firmy Microsoft